Das Secure Boot Dilemma

  Lioh Möller   Lesezeit: 3 Minuten  🗪 8 Kommentare

Microsoft nutzt seine Marktmacht im Bereich von UEFI SecureBoot aus. Es wird Zeit für eine alternative Implementierung.

das secure boot dilemma

Eigentlich war es abzusehen, doch kürzlich war es so weit. Microsoft zog eine Vielzahl von Secure Boot Signaturen über ein Windows Update zurück, was dazu führte, dass viele parallele Linux-Installationen nicht mehr starteten.

Darunter fanden sich auch weit verbreitete Distributionen wie die Ubuntu LTS Variante im Versionsstand 20.04.

Bereits zu Beginn der UEFI/Secure Boot Implementierung sorgte der Hersteller aus Redmond dafür, alleinstehend die Kontrolle über die Zertifizierungsstelle zu erlangen. Gelungen ist dies, anhand langjähriger Verflechtungen mit Hardware-Herstellern.

Dies führte unter anderem dazu, dass auf aktuellen Geräten, beispielsweise von Lenovo, seit einiger Zeit standardmässig nur noch, die Microsoft Signaturen akzeptiert werden und im UEFI-BIOS zunächst sogenannte 3rd-Party-Zertifikate zugelassen werden müssen. Dabei handelt es sich um eine weitere Einschränkung, die ausschliesslich dazu dient, die Marktmacht von Microsoft weiter zu stärken und die Installation von alternativen Betriebssystemen wie GNU/Linux zu erschweren; unter dem Deckmantel der Sicherheit

Nachhaltige Lösungsansätze sind allerdings denkbar und hätten bereits zu Beginn in Betracht gezogen werden müssen. So wäre die Verwaltung der Zertifizierungsstelle und die Ausstellung der Zertifikate in der Hand eines unabhängigen Gremiums, welches beispielsweise als Stiftung organisiert werden könnte, eine mögliche Variante. Bei einem Missbrauch von Signaturen, läge es in der Verantwortung dieser Organisation, die Betriebssystemhersteller vorab zu kontaktieren, um einen für den Nutzer transparenten Übergang zu ermöglichen.

In Kombination mit einer Freien BIOS-Implementierung wie Libreboot oder dem eingeschränkt Freien osboot, stehen bereits heute nutzbare Lösungen zur Verfügung. coreboot in Verbindung mit LinuxBoot stellt darüber hinaus einen vollständigen alternativen Stack zu UEFI DXE dar.

Auch als Computeranwender hat man die Möglichkeit, die Entwicklung aktiv durch eine bewusste Kaufentscheidung zu beeinflussen.

Darüber hinaus sind Nutzer von Single-Boot Linux-Installationen von dem Windows-Update nicht betroffen.

Artikel auf heise+: https://www.heise.de/news/UEFI-Secure-Boot-Microsoft-sperrt-unsichere-Bootloader-per-Windows-Update-7220634.html

Mancus Nemo
Geschrieben von Mancus Nemo am 10. September 2022 um 09:46

Tja, warum hab ich das erwartet?

Noname
Geschrieben von Noname am 10. September 2022 um 10:49

Aus Rache sollte jeder, der von dem Dualboot-Dilemma betroffen war, gänzlich auf Linux umsteigen. Da, wo M$ keine Macht hat, kann es keinen Schaden anrichten.

libertador
Geschrieben von libertador am 10. September 2022 um 16:38

Betrifft das wirklich viele Nutzer?

Wenn ich es richtig verstehe, dann betrifft das nur Systeme, die seit über einem Jahr das Update nicht erhalten haben, bzw. entsprechend alte Live-Systeme

Lioh
Geschrieben von Lioh am 10. September 2022 um 16:46

Es ist schwer abzuschätzen, wieviele Benutzer tatsächlich betroffen sind. Allerdings ging es mir mehr um den grundsätzlichen Aspekt, wenn solch eine essentielle Funktion in den Händen eines kommerziellen Anbieters liegt. Es wäre vergleichbar damit, wenn Microsoft für die Vergabe von IP-Adressen verantwortlich wäre. Oder irl für das Ausstellen von Pässen.

herbert
Geschrieben von herbert am 12. September 2022 um 21:24

Für mich ein fall für das Kartellamt, oder den Verbraucherschutz. Man müsste diesen Konzernen Microsoft, Apple und Co. sowieso viel mehr auf die Finger schauen.

Till
Geschrieben von Till am 19. September 2022 um 17:25

Die Aufforderung zur bewussten Kaufentscheidung finde ich gut – aber wenn das aktuellste Laptop ("Technoethical T500 Laptop with Libreboot and GNU/Linux-libre") aus dem Jahr 2017 stammt, trotzdem $730,- kostet und nur als "Pre-Order" verfügbar ist, dann ist das Angebot einfach nicht wettbewerbsfähig.

Lioh
Geschrieben von Lioh am 19. September 2022 um 17:50

Es ist ja nicht der einzige Anbieter. Vergleiche Minifree, Vikings etc...

Thomas
Geschrieben von Thomas am 28. September 2022 um 21:34

Schoen waer's; das T500 stammt aus dem Jahr 2008. Das neuste x86 Laptop das mit coreboot laeuft und bei dem die Management Engine zumindest zum Grossteil neutralisiert werden kann, ist das T440p aus 2014. Danach kam nix mehr auf Basis von x86 was auch nur halbwegs offen war und wird es auch in der Zukunft nicht da diese Hersteller das nicht moechten.

Es geht auch eher nicht darum wettbewerbsfaehig zu sein, sondern um die Freiheit der Benutzer zur verbessern und Leute zu haben, die aktiv Andere ueber die bestehenden Problematiken aufklaeren um eine kritische Masse zu erreichen. Das Aufbereiten von alten Systemen wird nicht wettbewerbsfaehig sein koennen, kann aber eine Zeit ueberbruecken bis alternative Systeme zur Verfuegung stehen. Es loest bzw. verbessert auch Probleme die die Nutzung von Ressourcen angeht. Gebrauchtes wieder herzustellen und einer Nutzung zuzufuehren ist immer oekologisch guenstiger als neue Geraete herzustellen. Was die Preise angeht: Es sei erwaehnt, dass Aufbereiter Arbeit in diese Geraete investieren und Gewaehrleistung anbieten. Wenn man es preiswerter haben moechte und dabei etwas lernen moechte, macht man das sowieso selbst und schiesst sich gebrauchte Hardware auf dem Flohmarkt.

Auch neue Systeme werden wegen Skaleneffekten lange brauchen um an die Preise von neuer Otto-Normal x86 Hardware heranzureichen, vgl. Raptor Computing mit seiner PowerPC Hardware (aus 2018/2019). Die liegt gut 1.000 EUR ueber einem vergleichbaren x86 System, aber ist trotzdem wenige performant.